Data Processing Agreement

Este DPA forma parte de los Términos de Servicio y regula el tratamiento de datos personales que blipee realiza por cuenta del Cliente (Responsable) en el marco del servicio.

Duración: la del contrato principal.

El Cliente es el responsable del tratamiento.

GRNL, Lda. ("blipee"), con domicilio en Rua Teixeira de Pascoais, 1, Estoril, NIF 517262100, es el encargado del tratamiento.

Cuando blipee determina medios y fines propios (por ejemplo, datos de facturación o métricas operativas agregadas), actúa como responsable autónomo — cubierto por la Política de Privacidad.

blipee trata datos personales solo conforme a las instrucciones del Cliente, recogidas en el contrato y en la configuración de la plataforma.

Las instrucciones ad-hoc van por escrito a dpa@blipee.com.

Si una instrucción contraviene la ley aplicable, blipee lo notificará al Cliente sin demora indebida.

Todo el personal blipee con acceso a datos personales firma un NDA con obligaciones de confidencialidad que sobreviven a la baja.

Los accesos se auditan y siguen el principio de mínimo privilegio.

La lista actualizada de subencargados — con identidad, ubicación y finalidad de cada uno — está disponible en nuestro Trust center y forma parte integrante de este DPA.

Informamos al Cliente de cualquier cambio en la lista con al menos 30 días de antelación, durante los cuales el Cliente puede oponerse por motivo razonable de protección de datos. Si no hay oposición en ese plazo, el cambio se considera aceptado.

Contractualmente exigimos a cada subencargado obligaciones equivalentes a las nuestras.

Los datos personales se alojan en la Unión Europea (EEE).

Cuando, excepcionalmente, los subencargados operen fuera de la UE/EEE, usamos las Cláusulas Contractuales Tipo (Decisión 2021/914 de la Comisión Europea) con salvaguardas adicionales cuando sea necesario.

Cuando recibimos una solicitud directamente de un interesado respecto a datos que tratamos por cuenta del Cliente, no respondemos directamente y la reenviamos al Cliente sin demora injustificada.

Las solicitudes sobre datos que blipee trata como responsable autónomo siguen la Política de Privacidad.

Damos al Cliente herramientas y APIs para responder a solicitudes (acceso, rectificación, supresión, portabilidad).

Notificamos al Cliente cualquier violación de datos personales sin demora injustificada tras tener conocimiento de ella, de modo que el Cliente pueda cumplir sus propios plazos de notificación a la autoridad de control.

La notificación incluye la naturaleza de la violación, las categorías y el número aproximado de interesados y registros afectados, las consecuencias probables y las medidas tomadas o propuestas.

El Cliente puede auditar el cumplimiento de este DPA una vez al año, con 30 días de preaviso.

Como alternativa, aceptamos auditorías por tercero independiente bajo NDA.

Cuando el informe SOC 2 esté concluido, se compartirá bajo NDA para cubrir la mayoría de las solicitudes de auditoría.

Al terminar el contrato: exportación de los datos en formatos estándar en 30 días, a petición.

Borrado definitivo (incluidos backups) en 90 días tras la terminación, salvo retención exigida por ley.